請追蹤這個工作流程來管理您組織內的應用程式安全風險。
進一步瞭解如何對應用程式中識別的漏洞進行測試。
這些實務已設定目標為開發人員和安全團隊。請選擇最符合您狀況的使用者角色。
使用以 AppScan 標準編寫的掃描配置,安全團隊可以建立範本。
進一步瞭解如何建立應用程式庫存。
進一步瞭解如何從第三方掃描器匯入問題。
安全團隊(其成員具有管理者專用權)使用他們依 AppScan Standard 編寫的掃描配置來建立範本。然後掃描範本檔便可用於 AppScan Enterprise。開發人員(具有 QuickScan 使用者專用權)在建立掃描時挑選範本,並使用新的 AppScan Dynamic Analysis Client 中的精靈來完成掃描的建立。當他們需要修正掃描配置時會使用相同的 Client。
開發人員團隊在 AppScan 中使用不同的方法和使用者介面來建立掃描範本。
本主題有助於安全團隊進一步瞭解建立掃描範本。
進一步瞭解如何建立掃描。
身為安全分析師,您可能必須協助開發人員編輯他們建立的基本掃描。在 AppScan Dynamic Analysis Client 中,您可以看到開發人員看不到的掃描配置選項。
「頁面結構 (DOM) 過濾功能」可以識別與已掃描的頁面非常類似且可以放心忽略的頁面,來大幅降低掃描時間。AppScan 會比較新的頁面與那些已經掃描的頁面是否有結構化 (DOM) 相似性,這表示新的頁面不含新鏈結或包含需要進一步測試的內容。例如,在商業網站中,可能有一個型錄含有上千個不同項目的個別頁面,其所有其他內容皆相同。通常不需要掃描所有這些頁面。根據 DOM 相似性加以過濾可以大幅降低掃描時間。
如果您現有的內容掃描是根據 AppScan® Standard 中的掃描範本 (*.scant),則您可以轉換掃描配置,使您能夠直接在 AppScan Dynamic Analysis Client 中編輯它。不過,在轉換掃描配置之後,就不能在 AppScan Standard 中重新開啟它。
進一步瞭解如何在 AppScan Enterprise 中執行及排程工作。
匯出掃描內容,並根據這些內容建立新的掃描。這是用來在兩個 Enterprise Console 實例之間複製掃描的方法。
您可以利用三個方法來停止執行中的工作。每個方法各有不同的使用原因,這相當取決於您是否要保留資料,或是否要從離開的點來繼續執行工作。您可以回復暫停的工作,從它停止之處繼續掃描。在任何可用伺服器上的下一個可用代理程式,會處理回復的工作。
進一步瞭解如何對應用程式中識別的漏洞判斷風險及設定優先順序。
進一步瞭解如何對應用程式中識別的風險進行補救。
進一步瞭解如何測量進度及展示相符性。